情報セキュリティの体系化
偉い人からのデッカイボールに対応するためのメモメモ。。
情報セキュリティの目的
- 機密性(Confidentiality)
- アクセス権を持つ者だけが、情報にアクセスできることを確実にすること
- アクセス制御、パスワード認証、暗号化、入退室管理
- アクセス権を持つ者だけが、情報にアクセスできることを確実にすること
- 完全性(Integrity)
- 情報及び処理方法が正確であることおよび完全であることを保護すること
- デジタル署名、メッセージダイジェストによる改竄防止
- 情報及び処理方法が正確であることおよび完全であることを保護すること
- 可用性(Availability)
- 責任追跡生 / 説明可能性(Accountability)
- システムが、いつ、誰に利用されたかを追跡できること
- アクセスログの記録、デジタル署名による否認防止
- システムが、いつ、誰に利用されたかを追跡できること
- 真正性 / 認証性(Authenticity)
- 情報の作成者や送信者が(なりすまし/偽物ではなく)本物であることを保証すること
- デジタル署名、パスワード認証
- 情報の作成者や送信者が(なりすまし/偽物ではなく)本物であることを保証すること
- 信頼性(Reliability)
- システムやプロセスが矛盾なく動作すること、一貫して動作すること
- ネットワークやシステムの2重化による呼称対策、サーバ室での温度管理、負荷監視
- システムやプロセスが矛盾なく動作すること、一貫して動作すること
前半の3つを「セキュリティのCIA」と呼ぶ。最近は、後半の3つを追加して6大要素とすることもある。
セキュリティの機能
- 抑制
- セキュリティの存在が、犯罪・事故などを牽制・抑止する
- ホスティング、外部委託、不要なサービスの停止、監視カメラ、規則・契約書への明記
- セキュリティの存在が、犯罪・事故などを牽制・抑止する
- 予防
- 検知
- 事故・障害・不正などを速やかに発見・通知する
- ログの監視、侵入検知システム、SNMPによるネットワーク管理
- 事故・障害・不正などを速やかに発見・通知する
- 回復
- 事故・障害から正常な状態に回復する
- バックアップ、代替機の確保、復旧対応マニュアルの作成
- 事故・障害から正常な状態に回復する
セキュリティの対策
- 物理的対策
- 建物・設備基準
- 技術的対策
- 技術基準:ツール導入など
- 運用管理対策
- 運用基準:セキュリティポリシー、人、教育など
情報セキュリティの指す範囲
- 情報セキュリティ
- コンピュータ・セキュリティ
- ネットワーク・セキュリティ
- (建物・設備などの)物理セキュリティ
- コンピュータ・セキュリティ
情報セキュリティの技術的対策
- 監査(Audit)
- 他の5階層全体を指し、導入した製品自身に設定ミスがないか、利用者がルールどおりに使用しているかなどを監視し、監査証跡を記録する製品およびサービス
- 暗号化(Encryption)
- 特権定義(Priviledge Definition / Single Sign On)
- 個人の属性に対して定義されたシステムへのアクセス権限を管理運営する認可の製品およびサービス
- 認証(Authentication)
- ネットワークやサーバにアクセスする際の、本人性を確認する製品およびサービス
- 通信規制(Access Control)
- インターネットに接続するする際に必要なファイアウォール製品およびサービス
- データ保護(Data Protection / Data Integrity)
- アンチウィルスに関する製品およびサービス
時系列で見た考え方
- 事前対策
- ファイアウォール、ウィルス対策サーバ、安全なWebアプリ開発、ハードディスク暗号化、サーバ室での安定稼働、パッチ適用
- 発生時の対策
- ネットワークからの切り離し、社内への周知、ホームページ上での公表、政府機関への連絡、HDDやメモリ内の証拠保全作業
- 発生後の対応、見直し
- 発生したインシデントのレビュー、ポリシーの改定や新たな対応策の導入
- 日常の運用
- 社員の教育、ログの監視、定期的バックアップ、脆弱性情報の収集、アカウント登録削除の管理徹底